Tipi di linee di base - AWS Control Tower
Tipi di base applicabili a livello di unità organizzativaTipi di base che possono essere applicati all'account condiviso durante la configurazione della landing zoneLinee di base e account dei membri abilitatiLinee di base e impostazioni predefinite per il controllo delle versioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tipi di linee di base

Una linea di base in AWS Control Tower è un gruppo di risorse e configurazioni specifiche che puoi applicare a un target. L'obiettivo di base più comune può essere un'unità organizzativa (OU). Ad esempio, puoi abilitare una linea di base con un'unità organizzativa selezionata come destinazione, per registrarla in AWS Control Tower.

Durante la configurazione della landing zone, alcune linee di base potrebbero essere abilitate automaticamente sull'account condiviso. Alcune linee di base possono essere abilitate e aggiornate in base alle impostazioni e alle configurazioni della landing zone. AWS Control Tower crea e distribuisce le risorse verso l'obiettivo nel modo specificato dalla baseline.

Quando abiliti una linea di base su una destinazione, la baseline viene rappresentata come una risorsa AWS, chiamata risorsaEnabledBaseline.

AWS Control Tower include due tipi generali di linee di base:

  • Linee di base che possono essere abilitate su un'unità organizzativa.

  • Linee di base che possono essere abilitate sull'account condiviso, durante la configurazione della landing zone.

Tipi di base applicabili a livello di unità organizzativa

Nota

Solo le linee di base applicabili a livello di unità organizzativa possono essere abilitate direttamente con l'API. EnableBaseline

  • Nome: AWSControlTowerBaseline

    Descrizione: questa baseline imposta le risorse e i controlli per gli account dei membri all'interno dell'unità organizzativa di destinazione, necessari per il monitoraggio della conformità, il controllo, il monitoraggio della sicurezza e, facoltativamente, la gestione degli accessi. Questa linea di base è abilitata quando registri un'unità organizzativa in AWS Control Tower.

    Prerequisito: l'integrazione con AWS Config deve essere abilitata nella landing zone di AWS Control Tower.

    Considerazione: questa linea di base mantiene le impostazioni della landing zone Region deny control. In altre parole, se una regione non è autorizzata a livello di landing zone, tale regione non è autorizzata per quell'unità organizzativa quando si chiama l'EnableBaselineAPI per registrare un'unità organizzativa.

    Nota

    La regione negata al controllo a livello dell'UE non ha modo di autorizzare le regioni che la regione negato il controllo della landing zone non consente.

    Per ulteriori informazioni, consulta How SCPs work with deny nella documentazione. AWS Organizations

    Raccomandazione: ti consigliamo di confermare le regioni in cui l'unità organizzativa di destinazione potrebbe eseguire carichi di lavoro e di confrontare i risultati con la landing zone Region deny control prima di chiamare l'EnableBaselineAPI per l'unità organizzativa, altrimenti potresti perdere l'accesso alle risorse in determinate regioni.

  • Nome: ConfigBaseline

    Descrizione: questa linea di base configura le risorse relative ad AWS Config per gli account dei membri all'interno dell'unità organizzativa di destinazione necessarie per l'abilitazione di Detective Controls. Le risorse impostate sono un sottoinsieme di risorse di. AWSControl TowerBaseline

    Prerequisito: l'integrazione con AWS Config deve essere abilitata nella landing zone di AWS Control Tower.

    Considerazione: questa linea di base non mantiene le impostazioni della landing zone Region deny control. Il Region Deny Control non verrà abilitato come parte dell'attivazione. ConfigBaseline

    Limitazione: AWSControl TowerBaseline e ConfigBaseline non può essere abilitato sulla stessa unità organizzativa. Solo una di esse è consentita su un'unità organizzativa.

  • Nome: BackupBaseline

    Descrizione: questa linea di base imposta le risorse e i controlli per gli account dei membri all'interno dell'unità organizzativa di destinazione. Questi sono necessari affinché l'integrazione con AWS Backup possa automatizzare il backup dei dati e centralizzare Servizi AWS la gestione delle policy di backup.

    Prerequisiti:

    • L'integrazione con AWS Backup deve essere abilitata nella landing zone di AWS Control Tower.

    • L'integrazione con AWS Config deve essere abilitata nella landing zone di AWS Control Tower.

    • AWSControlTowerBaselinedeve essere abilitato sull'unità organizzativa di destinazione.

    Considerazione: prima di abilitare l'BackupBaselineunità organizzativa di destinazione, assicurati che AWSControlTowerBaseline sia abilitata sull'unità organizzativa di destinazione. Cioè, l'unità organizzativa di destinazione deve essere registrata in AWS Control Tower.

    • Puoi scegliere di attivarla AWS Backup durante il processo di creazione della landing zone AWS Control Tower o durante un processo di aggiornamento della landing zone.

    • BackupBaselineÈ compatibile con le versioni 3.1 e successive della landing zone.

    • Non BackupBaseline viene applicato all'account di gestione.

Tipi di base che possono essere applicati all'account condiviso durante la configurazione della landing zone

AWS Control Tower abilita determinate linee di base sull'account condiviso, come parte del processo di configurazione e aggiornamento delle landing zone. Le linee di base per la tua landing zone possono cambiare man mano che modifichi le impostazioni della landing zone. Ad esempio, se opti per IAM Identity Center, AWS Control Tower può abilitare l'ultima versione della IdentityCenterBaseline baseline sulla tua landing zone.

Puoi visualizzare le linee di base abilitate per la tua landing zone con la chiamata ListEnabledBaselines API.

Nota

A partire dalla versione 4.0 di Landing Zone, AuditBaseline viene sostituita da due linee di base distinte: e. CentralSecurityRolesBaseline CentralConfigBaseline

  • Nome: CentralConfigBaseline

    Descrizione: configura risorse centrali per il monitoraggio e il controllo della conformità all'interno dell'organizzazione utilizzando AWS Config.

  • Nome: CentralSecurityRolesBaseline

    Descrizione: configura risorse centrali per il monitoraggio della sicurezza all'interno dell'organizzazione.

  • Nome: AuditBaseline

    Descrizione: configura le risorse per monitorare la sicurezza e la conformità degli account dell'organizzazione.

  • Nome: LogArchiveBaseline

    Descrizione: configura un archivio centrale per i registri delle attività delle API e delle configurazioni delle risorse degli account dell'organizzazione.

  • Nome: IdentityCenterBaseline

    Descrizione: configura risorse condivise per IAM Identity Center, che prepara l'accesso AWSControlTowerBaseline a Identity Center per gli account.

    Considerazione: questa linea di base funziona solo se hai selezionato IAM Identity Center come provider di identità al momento della configurazione iniziale della landing zone, o se successivamente modifichi le impostazioni della landing zone per abilitare IAM Identity Center per la tua landing zone. Se utilizzi un provider di identità diverso, non avrai accesso per abilitare questa linea di base.

  • Nome: BackupCentralVaultBaseline

    Descrizione: configura il AWS Backup vault centrale dell'organizzazione.

  • Nome: BackupAdminBaseline

    Descrizione: configura l'amministratore delegato e l' AWS Backup Audit Manager.

Linee di base e account dei membri abilitati

Quando si abilita una baseline su un'unità organizzativa, tale configurazione viene ereditata dagli account membri dell'unità organizzativa. A causa del fatto di ereditarietà, quando ci riferiamo all'account la chiamiamo baseline abilitata ai figli. La linea di base applicata all'unità organizzativa è denominata baseline abilitata ai genitori. La baseline abilitata al genitore controlla la configurazione delle relative linee di base abilitate per i figli. È simile al modo in cui un controllo, quando abilitato su un'unità organizzativa, si applica a ogni account all'interno dell'unità organizzativa.

Visualizza lo stato di base di un account

AWS Control Tower non consente di indirizzare gli account direttamente con linee di base. Tuttavia, puoi monitorare lo stato di attivazione e di deviazione di ciascun account membro utilizzando le linee di base ereditate relative all'abilitazione dei figli. Per visualizzare lo stato dei tuoi account, puoi chiamare l'API con il ListEnabledBaselinesflag di funzionalità. includeChildren

Disattiva la linea di base di un account

AWS Control Tower non consente di disabilitare una baseline abilitata per i figli collegata a una baseline abilitata per i genitori. Una linea di base abilitata ai figli può essere disabilitata se è stata modificata in base all'ereditarietà e non è più collegata a una linea di base abilitata ai genitori.

Linee di base e impostazioni predefinite per il controllo delle versioni

Se la tua landing zone AWS Control Tower è già configurata e scegli di abilitare una landing zone di base, AWS Control Tower abilita la versione più recente della linea di base compatibile con la versione della tua landing zone. Se scegli di abilitare una baseline per un'unità organizzativa che non è già registrata presso AWS Control Tower, AWS Control Tower fornisce automaticamente l'ultima versione compatibile della linea di base per quell'unità organizzativa.